랜섬웨어 조직, 금융권 공격 집중...금융정보 점검 '시급'
- 랜섬웨어 그룹의 금융기관 공격
- '알카나(Arkana), 록빗(LockBit), 플레이(Play), 세이프페이(SafePay), 스톰아우스(Stormous) 랜섬웨어 그룹
- 고객 정보 유출로 인한 피해 가능성
금융기관을 타깃으로 한 랜섬웨어 공격이 활개를 치고 있다. 국내서도 금융기관 타깃으로 랜섬웨어 공격 시도가 끊임없이 발생하고 있다. 특히 금융권에선 랜섬웨어 감염 피해가 발생하지 않도록 각별한 주의가 필요하다.
11일 안랩이 발표한 '2025년 5월 국내외 금융권 관련 보안 이슈'에 따르면 '알카나(Arkana), 록빗(LockBit), 플레이(Play), 세이프페이(SafePay), 스톰아우스(Stormous) 랜섬웨어 그룹은 여러 금융 관련 기업을 침해하고 자신들이 운영하는 DLS (Dedicated Leak Sites)에 피해자로 게시했다.
주요 피해 사례를 살펴보면 랜섬웨어 그룹 '알카나'가 영국의 글로벌 온라인 브로커리지 기업 In***에 대한 공격을 주장했다.
IN***는 2009년에 설립된 영국의 외환 및 차액결제거래 (CFD – Contract for Difference ) 브로커 회사다. 외환(FX), 지수, 원자재, 주식, 암호화폐 등 900종 이상의 다양한 트레이딩 상품을 제공, MT4, MT5, IX Social 등의 트레이딩 플랫폼을 지원한다.
공격 그룹은 고객 데이터 약 50GB를 탈취했다고 주장, 유출된 데이터에는 202,000건 이상의 KYC (Know Your Customer) 제출 데이터와 163,000명 이상의 고객 정보가 포함됐다. 이름, 생년월일, 이메일, 신분증 이미지, 서버 로그(IP, UA) 등 다양한 식별 정보가 포함된 샘플 데이터를 공개했다.
그룹은 6월 10일까지 몸값을 지불하지 않을 경우 전체 데이터를 유출하거나 판매할 수 있다고 경고했다. In***는 2025년 1월 금융감독청(FCA)로부터 보고 의무 위반으로 벌금을 부과받은 이력이 있다.
이번 사건은 고객 정보가 집중적으로 유출되었다는 점에서 트레이딩 플랫폼 전반의 신원 검증과 계정 보호 체계가 주요 공격 표면이 될 수 있음을 시사한다. 특히 FCA 벌금 이력이 있는 기업에서 발생한 점은 규제 대응과 실질 보안 간 간극의 문제를 보여준다.
안랩은 "동종 업계 기업은 사용자 인증 데이터, 신분증 이미지, 접속 로그 등 고감도 정보에 대해 저장·조회·전송 경로 전반을 점검해야 한다"며 "단순한 방화벽 강화나 MFA 도입을 넘어, KYC 문서 저장 프로세스의 암호화 및 접근통제 고도화, 내부 접근 로그 모니터링 체계 정비 등 실행 가능한 수준의 보안 체계 수립이 필요하다"고 강조했다.
Related Materials
- Chinese Hacked US Telecom a Year Before Known Wireless Breaches - Bloomberg, 2025-06-04
- US adds 9th telcom to list of companies hacked by Chinese-backed Salt Typhoon - Reuters, 2024-12-27
- White House official: 8 US telecom providers hacked by Chinese - CNN, 2024-12-04
- China's Hacking of US Telecoms: Officials Name More Victims - BankInfoSecurity, 2025-02-03
- 2024 United States telecommunications hack - Wikipedia, 2024-08-27
- Chinese hackers used broad telco access to geolocate and record calls - Politico, 2024-12-27
